Zum Inhalt springen

Microsoft 365 Education an Schulen

Schulen werden mit dem Datenschutz alleingelassen

Schulen, die Microsoft 365 Education nutzen, sollen selbst für den Datenschutz sorgen. Damit stehen sie laut einem Bericht von Golem.de vor komplexen Problemen. Die GEW kritisiert die aktuelle Rechtsauslegung in Deutschland.

Microsoft schiebt die Verantwortung für Datenschutz auf die Schulen ab. (Foto: Pixabay / CC0)

Die datenschutzrechtliche Verantwortung beim Einsatz von Microsoft 365 Education an Schulen wirft laut einem Bericht von Golem.de größere und ungelöste Probleme auf. Demnach fehlen klare Regelungen und Unterstützungsmaßnahmen, um Schulen die Einhaltung der Datenschutz-Grundverordnung (DSGVO) zu erleichtern.

Nach jüngster Auslegung der deutschen Datenschutzaufsichtsbehörden sei Microsoft nicht dafür verantwortlich, dass beim Einsatz der Software alles datenschutzkonform laufe, heißt es in dem Bericht der Website für IT- und Technik-News. Die Verantwortung dafür werde an die Schulen und Schulleitungen abgeschoben.

Nach Ansicht der österreichischen Datenschutzorganisation Noyb verstößt Microsoft gegen die DSGVO, wie Golem.de weiter schreibt: Ohne Zustimmung zum Tracking installiere der Konzern Cookies, die das Nutzungsverhalten analysierten und für Werbung genutzt würden. Betroffen seien vermutlich Hunderttausende Schüler und Studenten im europäischen Raum.

Handreichung für den Einsatz von Microsoft 365

Tatsächlich klammere die DSGVO die Verantwortung der Hersteller weitgehend aus, da sie diese beim Datenverarbeiter verorte, heißt es in dem Artikel des IT-Nachrichtenportals. Gleichwohl hätten die Aufsichtsbehörden die Möglichkeit, über Datenschutzfolgenabschätzungen technisch-organisatorische Nachbesserungen bei Herstellern zu verlangen.

Im September 2023 veröffentlichte dem Bericht zufolge eine Gruppe von Aufsichtsbehörden zwar eine Handreichung für den Einsatz von Microsoft 365. Demnach muss der Verantwortliche unter anderem eine Zusatzvereinbarung mit Konzern abschließen, mit der Schwachstellen des Vertrags zur Auftragsverarbeitung (AV) behoben werden sollen. 

Dirk Thiede, der Schulen datenschutzrechtlich berät, sagte Golem.de dazu jedoch: „Es gibt bei dieser auf jeden Fall sehr hilfreichen Handreichung nur ein Problem: Das ist die Umsetzung, welche kaum eine Schule alleine wird bewerkstelligen können.“ Es sei auch völlig offen, ob Microsoft diese Zusatzvereinbarungen umsetzen würde.

„Es ist ein Unding, wenn Schulen und Schulträger für die Einhaltung des Datenschutzes von Microsoft-Produkten verantwortlich gemacht werden, so wie es die derzeitige Rechtsauslegung in Deutschland nahelegt. " (Anja Bensinger-Stolze) 

Auch die GEW sieht den aktuellen Zustand kritisch: Anja Bensinger-Stolze, Vorstandsmitglied Schule, kommentierte: „Es ist ein Unding, wenn Schulen und Schulträger für die Einhaltung des Datenschutzes von Microsoft-Produkten verantwortlich gemacht werden, so wie es die derzeitige Rechtsauslegung in Deutschland nahelegt. Das ist nicht ihre Aufgabe. Schulen und Schulträger sind keine Datenschutzaufsichtsbehörden. Sie brauchen zweifelsfrei datenschutzkonforme Produkte, um handlungssicher arbeiten zu können. Wenn noch nicht einmal die Datenschutzaufsichtsbehörden und Microsoft selbst hinter die Prozesse schauen und möglicherweise hunderttausende Schüler*innen für Werbezwecke getrackt wurden, dann ist etwas in Schieflage geraten.“